Múltiples familias de Ransomware -incluyendo Blacksuit, Medusa, Qilin, DragonForce, INC, entre otras- están compartiendo y adaptando una herramienta avanzada diseñada para desactivar soluciones de EDR (Endpoint Detection and Response) y antivirus, lo que permite a los atacantes operar sin ser detectados y secuestrar datos con mayor efectividad, según reportaron investigadores de Sophos.
El hallazgo revela que esta herramienta, un tipo de “EDR Killer” o malware diseñado para desactivar los sistemas EDR, ha dejado obsoletas versiones anteriores utilizadas por los ciberdelincuentes y está disponible también en mercados clandestinos. Desde 2022, Sophos ha monitoreado un aumento en la sofisticación de este tipo de malware, impulsado por la creciente adopción de soluciones de seguridad para endpoints.
Características de la amenaza:
- Capacidad de ataque amplia: el EDR Killer puede apuntar a productos de todo el ecosistema de ciberseguridad, incluyendo Sophos, Bitdefender, Microsoft, McAfee y Webroot, entre otros.
- Ofuscación avanzada: el malware es frecuentemente empaquetado con HeartCrypt para evadir la detección.
- Certificados comprometidos: en algunos casos, utiliza controladores maliciosos firmados con certificados robados o caducados.
- Intercambio criminal: la misma herramienta ha sido encontrada en ataques perpetrados por grupos rivales, lo que sugiere colaboración o filtraciones de código.
Casos destacados
Entre los casos documentados, destaca el de MedusaLocker, que aprovechó una vulnerabilidad de día cero en la herramienta de soporte remoto SimpleHelp para instalar el EDR Killer y, de forma inmediata, desplegar el Ransomware en los sistemas comprometidos. De manera similar, RansomHub e INC utilizaron versiones más sofisticadas de esta herramienta, incorporando múltiples capas de empaquetado y cifrado con el fin de evadir las defensas avanzadas y prolongar el tiempo que permanecían indetectados dentro de las redes atacadas.
Según los expertos de Sophos, la disponibilidad y el uso compartido de este tipo de herramientas incrementa la velocidad y efectividad de los ataques, acortando el tiempo de reacción de las organizaciones y sugiere que el ecosistema del Ransomware es más complicado que una simple serie de grupos que compiten y luchan entre sí, lo que supone un dolor de cabeza más para los defensores.
Consulta la investigación completa en Shared secret: EDR killer in the kill chain
Fuente: Sophos
